[ Seg ] Opera: Falsificación de nombres en diálogo de descarga

12/12/2004 - 15:12 por server | Informe spam
(hay "solution" :-)



Opera: Falsificación de nombres en diálogo de descarga
http://www.vsantivirus.com/vul-opera-111204.htm

Por Angela Ruiz
XXXangela@videosoft.net.uy

Secunia Research ha descubierto una vulnerabilidad en el navegador
Opera, la cuál puede ser explotada para engañar a un usuario confiado
a los efectos que llegue a ejecutar archivos maliciosos.

La vulnerabilidad es causada debido a que ni el nombre de archivo ni
el contenido de la cabecera cuando se usa la etiqueta "Content-Type",
son debidamente validados antes de ser mostrados en la ventana de
descarga de archivos.

Esto puede ser explotado para disfrazar cierta clase de archivos al
ser descargados, utilizando en la cabecera etiquetas
"Content-Disposition" y "Content-Type" maliciosamente modificadas con
puntos y caracteres ASCII 160 estratégicamente ubicados.

De ese modo el usuario no verá la verdadera naturaleza de ciertos
archivos, pudiendo ser engañado para ejecutar archivos maliciosos.


Software afectado:
La vulnerabilidad ha sido confirmada en Opera para Windows 7.54 y
anteriores.


Solución:
Descargar e instalar la versión 7.54u1 o superior desde el siguiente
enlace:

http://www.opera.com/download/


Créditos:
Andreas Sandblad, Secunia Research.


Referencias:
Opera Download Dialog Spoofing Vulnerability
http://secunia.com/secunia_research.../advisory/

Advisory: Opera security advisory 2004-12-10
http://www.opera.com/support/search...ml?indexx2

Opera Download Dialog Spoofing Vulnerability
http://secunia.com/advisories/12981/




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
12/12/2004 - 17:54 | Informe spam
Aparte de cortar y pegar noticias. que sacadas fuera de contexto no
tienen significado, no veo que demuestres tus conocimientos en el fin
para el cual fueron creados los foros: soporte a quien necesita ayuda.

Lo cual me lleva a una conclusion: simplemente "no sabes". por lo
que no puedes aportar nada.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"server" wrote in message
news:41bc52e9$0$65930$
(hay "solution" :-)



Opera: Falsificación de nombres en diálogo de descarga
http://www.vsantivirus.com/vul-opera-111204.htm

Por Angela Ruiz


Secunia Research ha descubierto una vulnerabilidad en el navegador
Opera, la cuál puede ser explotada para engañar a un usuario confiado
a los efectos que llegue a ejecutar archivos maliciosos.

La vulnerabilidad es causada debido a que ni el nombre de archivo ni
el contenido de la cabecera cuando se usa la etiqueta "Content-Type",
son debidamente validados antes de ser mostrados en la ventana de
descarga de archivos.

Esto puede ser explotado para disfrazar cierta clase de archivos al
ser descargados, utilizando en la cabecera etiquetas
"Content-Disposition" y "Content-Type" maliciosamente modificadas con
puntos y caracteres ASCII 160 estratégicamente ubicados.

De ese modo el usuario no verá la verdadera naturaleza de ciertos
archivos, pudiendo ser engañado para ejecutar archivos maliciosos.


Software afectado:
La vulnerabilidad ha sido confirmada en Opera para Windows 7.54 y
anteriores.


Solución:
Descargar e instalar la versión 7.54u1 o superior desde el siguiente
enlace:

http://www.opera.com/download/


Créditos:
Andreas Sandblad, Secunia Research.


Referencias:
Opera Download Dialog Spoofing Vulnerability
http://secunia.com/secunia_research.../advisory/

Advisory: Opera security advisory 2004-12-10
http://www.opera.com/support/search...ml?indexx2

Opera Download Dialog Spoofing Vulnerability
http://secunia.com/advisories/12981/




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Preguntas similares